Пришла пора обновить Cisco ASA. Уязвимость CVE-2021-34704 в популярных межсетевых экранах связана с переполнением буфера и позволяет вызвать отказ в обслуживании (DoS). CVSS степень опасности 8.6 баллов.
Уязвимость эксплуатируется через веб-интерфейс программного обеспечения Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD). Для применения уязвимости нет необходимости быть аутентифицированным пользователем, что создаёт опасность для всех компаний, использующих ASA для удалённой работы своих сотрудников. Успешная эксплуатация уязвимости через вредоносный HTTPS-запрос приводит к перезагрузке устройства.
Из бюллетеня Cisco известно, что обходных способов устранить уязвимость нет (no workarounds available), придётся обновлять прошивку. Обновлением прошивки устраняется целый ряд уязвимостей:
- CVE-2021-34704
- CVE-2021-1573
- CVE-2021-40118
- CWE-121
- CWE-234
- CWE-787
CVE-2021-1573 была обнаружена в ходе внутреннего тестирования безопасности.
Cisco благодарит Никиту Абрамова из Positive Technologies за сообщение об ошибке CVE-2021-34704.
Cisco благодарит Руслана Сайфиева, Дениса Файустова и Масахиро Каваду из Ierae Security за сообщение об ошибке CVE-2021-40118.
Уязвимые продукты
Все с Cisco ASA или Cisco FTD с уязвимой конфигурацией AnyConnect или WebVPN.
